网络安全软件厂商Rapid7在即将于周二发布的一份白皮书中表示,目前市场上广泛使用的网络技术存在很多漏洞,而这些漏洞使数千万台个人电脑、打印机和存储设备在常规网络环境中就非常容易受到黑客的攻击。计算机路由器和其他网络设备是导致用户个人设备极易受到攻击的根源,因为它们都普遍采用了即插即用(Universal Plug and Play, UPnP)技术。该技术能够让网络更加便捷地识别外部设备并与之进行通讯,这大大节省了网络调试时间。
Rapid7在这份白皮书中指出,该公司研究人员已经从即插即用技术标准中发现了三种相互独立的漏洞,而正是这些漏洞导致全球4,000万到5,000万台设备极易受到攻击。这些设备的名单中包括数家全球知名网络设备生产商的产品,比如Belkin、D-Link以及思科旗下的Linksys和Netgear。
业内广泛关注
安全软件厂商Veracode的首席技术官克里斯·维索普尔(Chris Wysopal)表示,他认为Rapid7公开发布的调查结果将引起业内对即插即用技术安全性的广泛关注,而该技术仍处于新兴发展阶段,同时还会促使其他安全研究人员继续挖出即插即用技术存在的更多漏洞。
在提前阅读过Rapid7调查结果的维索普尔指出:“这一结果绝对可以说是令人恐慌的。陆续还会有这方面的更多研究,今后的研究结果可能会引起更大的恐慌。”
Rapid7 曾经通过美国计算机网络安全监测机构“计算机应急反应小组协调中心”(CERT Coordination Center)向电子设备厂商通报过上述漏洞,该中心由政府出资与卡耐基梅隆大学软件工程学院联合建设,旨在帮助研究人员报告可能会影响企业网络安全的潜在漏洞。
Rapid7首席技术官莫尔(HD Moore)表示:“这是我所见过的涉及范围最广的安全漏洞。”莫尔曾经建设了一个用途广泛的平台,取名Metasploit,安全专家可以在该平台上进行模拟网络攻击测试。莫尔指出,他估计CERT将在本周二向公众发布网络漏洞安全预警。而CERT的一位发言人拒绝对此事发表任何评论。
据来自一家网络设备生产商的消息源确认称,该公司已经提前被通知,CERT将在本周二发布相关报告。
多数受试设备存漏洞
根据Rapid7的调查显示,黑客可以利用这批安全漏洞获取绝密文件、窃取密码、获得个人电脑的完全控制权以及针对网络摄像头、打印机和安全系统进行远程遥控。
莫尔指出,在他进行过测试的设备中,大多数都存在各种各样的漏洞。他还指出,设备厂商则需要发布软件更新才能够解决这些问题,而这在短期内似乎很难实现。
与此同时,莫尔还建议电脑用户迅速运行由Rapid7发布的一款免费工具来查找漏洞,然后在存在漏洞的设备中关闭即插即用功能。
莫尔表示,网络黑客尚未大规模利用即插即用漏洞实施攻击,但莫尔和Veracode的维索普尔均预计,一旦结果公布以后,黑客们可能会开始发起大规模攻击。为了敦促设备生产商修补这些漏洞,莫尔表示,他决定公布这些漏洞。
使用带有即插即用功能设备的用户可能根本意识不到潜在漏洞带来的风险,因为新款路由器、打印机、媒体服务器、网络摄像头、存储设备以及智能电视和互联网电视等设备在出厂时就默认开启了即插即用功能。
莫尔指出:“遇到这种事情,你不能置之不理。这些产品和设备似乎数十年以来就一直执行着相同的核心安全标准。似乎没有人真正关心这些产品。”
维索普尔表示,有些黑客似乎已经开始利用这些漏洞来发起攻击了,不过数量还相当小,而且他们每次只选择一个攻击对象。他指出:“如果黑客要追踪公司高管和政府官员的话,他们很可能会通过后者的家庭网络并利用这些漏洞实施攻击。”
Rapid7建议,如果企业和消费者怀疑自己的设备可能容易受到攻击,那么就关闭设备的即插即用功能。Rapid7已经在该公司网址上发布了一款工具,以帮助用户查找到存在安全漏洞的设备和产品。